A modern kor egyik legnagyobb kihívása, hogy személyes adataink korlátok nélkül cirkulálnak a világhálón – ez pedig számos veszélyt rejt magában. De milyen következményekkel is járhat, ha adataink illetéktelen kezekbe kerülnek – avagy személyazonosság-lopás áldozataivá válunk?
A 21. század evolutív termékei között kétségkívül kiemelkedik az információ-technológia fejlődése, amely mára a hétköznapokat is egyre sűrűbben átszövi, egyre kevésbé megkerülhető: online kapcsolattartás, időpontfoglalás egy magánegészségügyi-intézményben, egy banki tranzakció lebonyolítása – sorolhatnánk. Miközben a digitális világ veszélyei is egyre nyilvánvalóbbak, a hatékony védekezés fontossága nem kifejezetten tudatosul a felhasználókban. A természetes személyeket érintő kiberbűncselekmények közül a leggyakoribb a személyazonosság-lopás, azaz az „identity theft” vagy „identity fraud” jelensége.
De mit is jelent a személyazonosság-lopás, illetve a személyazonossággal való visszaélés? – Tisztázzuk a fogalmakat!
Személyazonosság-lopásról akkor beszélünk, ha valaki más személy azonosító adatait – például nevét, azonosító számát vagy hitelkártyaszámát – az engedélye, hozzájárulása nélkül, csalárd módon megszerzi és csalás vagy más bűncselekmény elkövetésére használja fel.
Érdekesség, hogy a fogalom már az internet megjelenése előtt is létezett, a személyazonosság-lopás kifejezést 1964-ben használta először a külföldi jogirodalom. A fogalom kulcseleme a jogellenes megszerzésen túl „csalási-szándék”. Azóta a személyazonosság-lopás definíciója mind az Egyesült Királyságban, mind az Egyesült Államokban a személyazonosításra alkalmas adatok eltulajdonításaként került meghatározásra. A bűncselekmény elkövetése során az elkövető
szándékosan valaki más személyazonosságát használja fel túlnyomórészt pénzügyi előnyök megszerzésére, és ezáltal más személynek hátrányt vagy veszteséget okoz.
A személyazonosításra alkalmas adatok generálisan magukban foglalják a természetes személyazonosító adatok számos kategóriáját, így pl. az egészségügyi adatokat, vagy a biometrikus adatokat is. Személy azonosítására alkalmas adat rendszerint a személy neve, születési ideje, társadalombiztosítási azonosító jele, jogosítvány száma, bankszámla- vagy hitelkártyaszáma. De ebbe a körbe tartozik a PIN-kód, az elektronikus aláírás, az ujjlenyomat, a jelszó vagy bármilyen más információ is, amely felhasználható egy személy pénzügyi adataihoz való hozzáféréshez.
A bűncselekmény elkövetése során megszerzett információk ma már számos módon rögzíthetők és akár határon átnyúlóan, a világ gyakorlatilag bármely pontjára továbbíthatók, ez pedig lehetővé teszi az elkövetői csoportok számára, hogy az érintett személyazonosságával visszaélve – leggyakoribb esetként – anyagi haszonhoz, gazdasági előnyhöz jussanak. A bűncselekmény szoros kapcsolatban áll az adathalászat jelenségével.
A személyazonossággal való visszaélés leggyakrabban személyazonosság-lopás következménye. De nem kizárólagosan. Előforulhat ugyanis, hogy valaki úgy haszálja fel jogosulatlanul más személyes adatát, hogy nem követ el személyazonosság-lopást – pl. ha adatvédelmi incidens következményeként jut azonosító adatokhoz.
A biztonság sérülésének eredményeként bekövetkezett adatszivárgás és a személyazonosság-lopás között ugyanakkor gyakran áll fenn szoros összefüggés – ilyenkor a lopás áldozatai számára általában nem is derül ki, hogyan szerezték meg személyes adataikat.
Milyen megjelenési formái vannak a személyazonosság-lopásnak?
A személyazonosság-lopás egy sor ‘csaló’ jellegű cselekményt foglal magában. A gyakorlat szerint a kiberelkövetők deliktumainak négy megjelenési formája van: az (i) egészségügyi, a (ii) bűnügyi, a (iii) pénzügyi, valamint a (iv) gyermekidentitás-lopás.
1. Az egészségügyi személyazonosság-lopás akkor következik be, amikor az elkövető egy másik személy társadalombiztosítási azonosító jelével azonosítva magát vesz igénybe orvosi ellátást. Nem ritka az az eset sem, amikor kibertámadók egészségügyi intézmények szervereit támadják meg abból a célból, hogy az érintettek társadalombiztosítási adataihoz férhessenek hozzá a későbbi felhasználás érdekében.
2. A bűnügyi személyazonosság-lopásra általában akkor kerül sor, amikor az elkövető a letartóztatás során más személyként azonosítja magát, hogy elkerülje a büntetőjogi felelősségre vonást – vagyis az idézést, a valódi nevére kiállított elfogatóparancs általi felderítését, a tényleges letartóztatást, illetve a letöltendő szabadságvesztés megkezdését.
A gyakorlatban ez úgy valósul meg, hogy az elkövető lopott, személyazonosításra alkalmas okmányokkal igazolja magát a hatóságok előtt. A magyar büntetőjog szerint „intellektuális” közokirat-hamisítás bűntettét valósítja meg, amennyiben az illetékes hatóságok az általa – hamisan – szolgáltatott személyes adatokat foglalják okiratba.
A vonatkozó 2/2004 BJE határozat szerint: “1. Ha az elkövető az ellene indított büntetőeljárás során más létező személynek adja ki magát, és az ennek megfelelő adat kerül az ügyben eljáró hatóságok által készített közokiratba, a hamis vád bűntette (Btk. 233. §) mellett az “intellektuális” közokirat-hamisítás (Btk. 274. § /1/ bekezdés c/ pont) bűntettét is elköveti. 2. Ha az elkövető a személyazonosságának az igazolására más nevére szóló valódi közokiratot is felhasznál, a hamis vád bűntette (Btk. 233. §) és az “intellektuális” közokirat-hamisítás (Btk. 274. § /1/ bekezdés c/ pont) bűntette mellett a Btk. 274. §-a /1/ bekezdése b/ pontjának III. fordulatába ütköző közokirat-hamisítás bűntettét is elköveti.”
3. A leggyakoribb azonban a pénzügyi személyazonosság-lopás. Ez akkor fordul elő, amikor az elkövető egy másik személy adatait áruk, szolgáltatások vagy egyéb szenzitív információk elérésére használja fel, továbbá gyakori bankszámla-nyitás, valamint a hitelfelvétel céljából történő személyazonosság-lopás, majd ennek következményeként a sértett eladósítása.
4. A gyermekidentitás-lopás során az elkövető a gyermek személyazonosságát a személyes haszonszerzés különböző formáira használja fel. Ez azért gyakori, mivel a gyermekekhez jellemzően nem kapcsolódnak olyan plusz információk, amelyek jelentősebb akadályt állítanának az elkövetők elé. A csaló egyszerűen felhasználhatja a gyermek nevét és társadalombiztosítási számát pl. letelepedés vagy álláskeresés megkönnyítése céllal, vagy szociális juttatás igénybevételéhez.
A személyazonosság-lopás során megszerzett adatok gyakran kereskedelmi forgalom tárgyaivá is válnak a világhálón (pl. darknet), azonban – gyakorlati tapasztalatok alapján – az is kijelenthető, hogy a sértettek sokszor nem is észlelik adataik eltulajdonítását, nincsenek tudatában annak, hogy személyazonossággal való visszaélés áldozatává váltak.
